华为员工被判刑:一夜惊醒多少老板和审计?
- 2022-04-13 06:10:00
- 审先生 原创
- 13157
审先生 / 文;内审网 / 整编
昨天(4月12日)发现,一条“华为员工利用公司系统Bug越权访问机密数据被判刑”的新闻,突然登上微博、百度、微信搜一搜等各大热搜榜单!
华为员工、越权、机密数据,这一个个关键词,无一不激起了本人一探究竟的想法。
进一步检索查阅了解到,大致情况为:
易某,于2006年12月至2018年3月期间在华为技术有限公司(以下简称华为公司)任职。在其调离岗位后,未清理ERP登陆账号(相关权限),通过越权访问,或借用同事账号访问ERP系统,将所获得数据透露给华为供应商、上市公司金信诺(300252),以帮助该公司提高中标率,因此获利。最终易某被判犯非法获取计算机信息系统数据罪,判处有期徒刑一年,并处罚金人民币二万元;并向易某追缴违法所得共计人民币23437.6元,依法予以没收,上缴国库。
网上公开披露的裁定书如下:
截图来自:中国裁判文书网
公开信息显示,2017年以后,易某发现ERP系统中的POL采购小程序存在漏洞,能通过特定操作绕过权限控制查看系统数据,便以此方式获取线缆物料的价格信息。发现系统漏洞后,易某未向上反馈,反而利用该漏洞从事上述违法行为。
经查,
易某在2016年12月27日至2018年2月28日期间,曾多次通过邮箱“yihxxx@huawei.com”将华为公司多个供应商共1183个(剔除重复部分共918个)线缆类编码物料的采购价格发送给金信诺公司。
2012年至2017年6月30日期间,易某收受金信诺公司购物卡共计7000元、篮球鞋5双(价值共计人民币16437.6元)。
另查明,案发后,华为公司出具谅解书,表示对被告人易某侵害华为公司的行为予以谅解。
到此,不知您会有什么想法。作为一名老审计人,和圈内朋友们讨论了解到,一夜之间,不少公司老板、高层连夜要求IT、审计部门着手审查关键系统账号权限管控情况。
这个案件,并不复杂,从事过全面审计工作,或者参与过大中型企业是单位审计项目的伙伴,一定会清楚,账号、权限、日志管理是信息系统一般性控制(ITGC)的基本内容,IT审计亦必须关注。
大家时间宝贵,长话短说,基于该案件,从IT、数据控制与审计的角度,分享几点实务干货,供各单位高层及IT部门、审计部门同仁参考:
数字化时代,数据是组织最宝贵的资源和财富之一,部分数据事关企业命运,甚至生死,重视数据安全,就是关注组织前途与发展;
数据安全管理,不是喊喊口号就能做到的,需要周密的内部控制设计,严格的控制执行措施。包括但不限于:外购系统可靠性评估和认证;自研系统的充分独立测评;云端与本地数据存储安全保证及定期审查;账号密码策略与权限分配审查;数据接口与传输控制;日志记录与审阅等。
任何系统都不可能尽善尽美,建立发现bug、搜集bug、解决bug,定期进行系统升级迭代的机制,至关重要。
系统控制效率高,各单位尽可能的通过系统部署自动控制,但也要清醒的认识到,不可靠的系统控制,其风险远比人工控制风险更高,要知道,系统性错误会导致该环节出现全面的错误,所以,做好充分的系统测评,不能忽视;
账号权限授予管理,不是闹着玩,权限越大自然越方便,但风险自然越高,要遵循适当性的授权总原则,充分保证不相容职责适当分离;
账号权限审阅和审计,不要走过场,华为该案件再一次生动的证明,账号权限审阅和审计的价值所在。易某账号调岗时,账号权限未被及时修改,如果该系统账号定期审阅机制得到了严格执行,肯定能尽早发现其权限超过岗位职责的问题,如果IT审计[内审网注:各类审计方法案例报告模板关注公众号内审网即可查阅获取]测试关注到该系统账号,亦可发现(当然与审计方法有关,若不全查,就得靠运气);
账号密码和使用权管理,不是儿戏,要知道,我们的账号一般基于该岗位职责而开通对应的权限,要严禁借用账号行为,借用账号会实质性构成不相容职责不分离、数据泄密风险;
日志记录与存储很重要,该控制更多的价值在于检查性,一旦出现问题,能够快速定位及追责,也能帮助精准堵上漏洞。
对于控制,要彻底改变“从来没出过问题,没啥关系”的思维,要意识到,控制更多的价值应该在于预防,过去没问题不代表未来没问题,很多情况下,正是因为控制存在,过去才没有出问题;
很多情况下,审计的价值是潜移默化、润物细无声的。审计发现问题是价值,预判风险更是价值所在。正是因为审计的存在,尽早地发现了风险,推动控制建立,化解了风险,预防了问题出现,所以,不要因为没啥大问题就认为“审计没有价值”,有时候,审计存在就是威慑,就是价值。
以上十点个人看法,抛砖引玉,希望对大家有所帮助,欢迎留言讨论。
【转载提示】转载内审网原创文章,请在页面顶部注明:本文转载自公众号:内审网(ID:neishenwang),并标识作者信息。
文章版权归作者所有,观点不代表内审网立场。部分图文源于网络,已标注作者信息,部分无法查明作者及首发来源,仅作同行学习研究之用,如涉版权,后台联系删除。
- 2025年培训课程计划:审计/内控/合规(全年计划·收藏)
- “经济责任审计实务与案例” (线上+线下) 培训通知
- 穿透式监管视角下的企业内控升级与风险管控实践-研修班培训通知
- AI驱动“审计人员四能四会胜任力提升与思维决策”(线上+线下)培训通知
- AI驱动采购全流程风险管理、审计实务课程-培训通知
- 拥抱AI:DeepSeek赋能工程建设项目审计实务-培训通知
- 拥抱AI:DeepSeek赋能内审智能化转型与实践课程
- DeepSeek驱动下的内部审计创新与 价值重构(线上/线下)实务培训通知
- 公开课 / 内训课 / 网课-审计·内控·财税:实务课程计划清单
- 行政事业单位严肃财经纪律暨内部控制业务能力提升-培训通知
- 行政事业单位财经纪律教育与财会审计管理提质增效-培训班
- 高风险业务经营价值挖掘与风控实务(线上+线下)培训通知
- 【热门】新时期内审精英实务综合课
- 【最新】中/高级审计师 / CIA 考试培训课程
- 拥抱AI:DeepSeek赋能智能财务创新与实践课程
- 128532 【2025高级审计师/初级中级考试 // 正高/高审评审培训课程】
- 92648 【CIA 国际注册内部审计师】培训课程全集
- 84535 【课件】内部审计实务+案例·精讲
- 79691 【课件】注册制IPO审计全流程实务详解
- 79661 【课件】审计方案+报告+证据+审计能力建设+经济责任审计培训课程
- 79606 【EPC工程总承包项目管理与审计实务】培训课程
- 79254 【课件】国有企业审计与内部控制
- 79087 【经济责任审计·准则解读】课程
- 78989 【绩效审计与内部控制审计】培训课程
- 78792 【建设工程全过程审计】培训课件
- 77366 【建设项目竣工决算审计】培训课程
- 77215 【工程项目招投标风险管理与审计】培训课程
- 80946 《内部审计工作法》
- 80081 《企业内部审计全流程指南》
- 79956 《数字化审计实务指南》高效审计工具书
- 79500 《内控总监工作笔记》 企业内部控制工作法及案例解析
- 79485 《金融机构审计实务指南》
- 79129 《内部审计工作指南》+《增值型内部审计》+《内部审计情景案例》《内部审计思维与沟通》《合规型内部审计》
- 78978 《行政单位经济责任审计实务指南》
- 78860 《企业内部控制流程手册》- 第3版
- 78765 《内审人员进阶之道 内部审计操作实务与案例解析》
- 78749 《业内部控制架构设计实操手册》
- 78632 《财务审计实务指南》
- 78452 《房地产企业审计从入门到精通》模块分解+操作流程+案例解析
- 78121 《企业内控精细化管理全案》第三版
- 78042 《企业内部控制基本规范操作指南 图解版》
- 78026 《舞弊审计实务指南》
- 77491 《企业内部控制全流程实操指南》